| 5 | Organizational controls 组织控制(ISO/IEC 27001: 2022 附录A) | |
| 5.29 | Information security during disruption 中断时的信息安全 | Control 控制 The organization shall plan how to maintain information security at an appropriate level during disruption. 组织应策划如何在中断期间将信息安全维持在适当的水平。 |
| 5.30 | ICT readiness for business continuity 业务连续性的信息与通信技术(ICT)的准备 | Control 控制 ICT readiness shall be planned, implemented, maintained and tested based on business continuity objectives and ICT continuity requirements. 应基于业务连续性目标和信息与通信技术(ICT)连续性要求,策划信息与通信技术(ICT)的准备,并予以实施,保持和测试。 |
| A.17 业务连续性管理的信息安全方面(ISO/IEC 27001: 2013 附录A) | ||
| A.17.1 信息安全的连续性 | ||
| 目标:应将信息安全连续性纳入组织业务连续性管理之中。 | ||
| A.17.1.1 | 规划信息安全连续性 | 控制 组织应确定在不利情况(如危机或灾难)下,对信息安全及信息安全管理连续性的要求。 |
| A.17.1.2 | 实现信息安全连续性 | 控制 组织应建立、文件化、实现并维护过程、规程和控制,以确保在不利情况下信息安全连续性达到要求的级别。 |
| A.17.1.3 | 验证、评审和评价信息安全连续性 | 控制 组织应定期验证已建立和实现的信息安全连续性控制,以确保这些控制在不利情况下是正当和有效的。 |
控制解析:
- 新版中的A.5.29是由ISO/IEC 27001: 2013中的A.17.1.1、A.17.1.2和A.17.1.3合并而成的,新版A.5.30是新增要求。
- 组织应建立信息安全连续性过程,并形成书面的《信息安全连续性管理程序》,在文件中明确信息安全连续性管理流程和职责等。
- 如果组织有实施ISO 22301,建立业务连续性管理体系,仅需将信息安全的连续性部分嵌入其中即可。如果没有实施ISO 22301,可以根据信息安全风险评估的结果,对于完整性和可用性要求高,且风险较高的信息资产(如工业控制系统、核心交换机、机房供电设施、关键信息系统等),规划信息安全连续性计划(如项目计划、资源等)。
- 在规划信息安全连续性计划时,应考虑A.5.30新要求:(1)对ICT服务中断作出响应并从中断中恢复;(2)确保所需的信息和通信技术服务支持优先活动的连续性;(3)在ICT服务中断发生之前,以及在检测到至少一个可能导致ICT服务中断的事件时,作出响应。
- 应按照前期的项目规划实现信息安全的业务连续性,如连续性组织架构的建立、风险与业务影响分析(可以结合信息安全风险评估的结果)、连续性目标、连续性策略的制定、连续性应急计划的编制、认知和培训等。
- 应定期进行信息安全连续性进行演练,并对演练结果进行评价。
实施本控制应输出的文档:
- 《信息安全连续性管理程序》。
- 信息安全连续性项目计划、资源需求记录等。
- 实现信息安全连续性的相关文档,如组织架构、风险与业务影响分析、连续性目标、连续性策略、连续性应急计划、认知和培训记录等。
- 信息安全连续性进行演练和评价记录。
本控制审核要点:
- 能否提供关键信息处理设施的风险与业务影响分析报告。
- 是否建立连续性目标、连续性策略、连续性应急计划等。
- 是否有进行信息安全连续性进行演练和评价,并提供记录。
